10月第5周安全回顧IE7又現新漏洞殭屍網路感染率上升

技術小美發表於2017-11-07
 
本週(1029至1104)安全方面值得關注的新聞集中在漏洞攻擊、惡意軟體、反垃圾郵件及行業動向方面。
漏洞攻擊:攻擊者瞄準IE7的新漏洞;關注指數:高
新聞:週三,Microsoft和安全公司Secunia警告說,發現有攻擊者正在對一個未修正的IE7漏洞進行攻擊,如果攻擊者成功實施攻擊,將有可能在使用者的機器上通過IE7執行第三方程式。目前Microsoft已確認在Windows XP和2003上的IE7存在該漏洞,而Windows Vista則不受該漏洞的影響。
筆者觀點:雖然目前Microsoft還沒有公開針對該漏洞的攻擊的詳細資訊,只說已經確認有“少量的”攻擊的發生,但從Secunia所提供的漏洞資訊來看,這些攻擊所針對的是一個針對IE7通過URI呼叫第三方 程式的處理錯誤。另外,Microsoft在10月10日曾釋出過關於這個漏洞的公告,並稱 針對該漏洞的補丁正在開發中,但由於該漏洞的技術原理,補丁的釋出尚需時日。筆者認為,從Microsoft和Secunia的公告來看,這個漏洞的威脅性要稍微比遠端執行程式碼的漏洞低,但理論上說攻擊者仍然可以通過按順序執行指定的外部程式來達到控制使用者系統的目的。按Microsoft平時補丁更新的進度,該漏洞補丁的釋出最快也要到11月的第二週週二,所以建議使用者在更新補丁前不要訪問可疑或可信度低的網站,同時也應該警惕通過即時通訊、電子郵件等方法實施的社會工程學攻擊。
另外,從最近的Windows 漏洞公開及攻擊情況來看,隨著Windows Vista的逐步推廣,無論是Microsoft還是安全廠商對Windows平臺的關注重心都會逐步從XP/2003轉移到Vista上,攻擊者也是如此,因此Windows Vista使用者也不能放鬆警惕,要隨時關注最新的漏洞攻擊趨勢,並做好對應的防護措施。
惡意軟體:企業中Botnet的感染率上升;關注指數:高
新聞:週一,根據採集自Symantec向客戶提供的Botnet(殭屍網路)活動跟蹤服務中的資料,企業網路中的Botnet感染問題正日益嚴重。在Symantec向全球客戶提供的安全監控中心(SOC)服務中,上個月曾有超過1000例與殭屍網路活動相關的安全事件被上報,平均每天發生超過30例。
筆者觀點:在業界及使用者的印象裡,殭屍網路所針對的物件通常更偏重於“軟目標”,也就是安全防禦程度較薄弱的個人及家庭使用者,殭屍網路操縱者最終要得到的收益也只限於使用受害者的系統進行DDoS、盜取特定賬號密碼或身份認證資訊。但來自Symantec SOC執行報告顯然有些出乎大家的意料,安全防禦程度較高的企業及組織網路也常常成為殭屍網路攻擊的目標,並且感染的樣本中還包括諸如“財富500強”排名裡面的企業,這不得不讓業界和使用者警惕。
筆者認為,因為目前的殭屍網路工具的作者,已經逐漸使用上P2P網路控制、Rootkit技術等原來較少見的高階技術,所以現在的殭屍網路已經不能用簡單的IRC bot的標準進行衡量。而且殭屍網路的一個主要目標,就是要儘可能多的感染系統,企業中的計算機也同樣儲存有許多敏感的賬戶和密碼資訊,這樣企業網路成為殭屍網路的攻擊物件就不足為奇,當然,企業中殭屍網路的擴散還和許多企業的內外沒有經過加固,或配置安全策略等有很大關係。建議企業使用者也應該正視重視殭屍網路的威脅,通過部署良好的內網 控制和一致性方案,來對抗越來越嚴重的內網Botnet感染威脅。
反垃圾郵件:語音和視訊檔案可能將成為垃圾郵件攻擊的新載體,關注指數:中
新聞:週二,電子郵件安全廠商MessageLabs警告稱,垃圾郵件傳送者為了躲避目前部署的各種反垃圾郵件方案的過濾,正在把目前的垃圾郵件傳送策略改變為使用音訊或視訊方式。MessageLabs在10月17號曾捕獲使用MP3作為附件的垃圾郵件樣本,並發現這次垃圾郵件傳送行為的發起者有可能就是年初使用PDF檔案作為垃圾郵件載體的行動者。
筆者觀點:因為音訊及視訊檔案內容的識別涉及到人工智慧的領域,因此使用者要想使用反垃圾郵件的內容識別功能來檢測並過濾音訊和視訊垃圾郵件將是一件“不可能的任務”。筆者認為,要對付音訊或視訊檔案載體的垃圾郵件,必須從企業郵件使用策略上著手,目前許多電子郵件伺服器或相關的安全方案已經提供了根據進出伺服器的附件檔案型別來決定是否攔截郵件的功能,使用者只需開啟並配置相關的策略便可防禦使用附件形式進行傳送的音訊或視訊垃圾郵件。對於使用網路視訊共享網站進行垃圾郵件傳送的攻擊方式,則需要使用者制定相應的關鍵詞過濾策略。
行業動向:Cisco花費1億美元收購資料庫安全廠商Securent
新聞:週四,網路廠商Cisco日前宣佈,將花費1億美元現金,收購資料庫安全廠商Securent。這次收購將是Cisco進行的第125次收購活動,收購完成後,Securent所擅長的資料庫安全及內網SharePoint伺服器安全技術將充實Cisco的產品線。
筆者觀點:Cisco對Securent的收購,顯示出Cisco在統一通訊平臺(Unified Communication)及Web 2.0安全應用方面的搶先佈局,Cisco與之相類似的行動還有今年早些時候對IronPort及五月份對WebEx的收購。筆者認為,統一通訊這個概念才剛剛被提出沒有多長時間,而企業內部的Web 2.0應用(諸如SharePoint、Lotus Domino、GroupWise等企業常用的內部應用)也正在開始流行,Cisco的併購行為無疑是相當有前瞻性的,國內的安全廠商也可以適當關注這一領域的發展。
本文轉自J0ker51CTO部落格,原文連結:http://blog.51cto.com/J0ker/49278,如需轉載請自行聯絡原作者


相關文章